2023年3月30日、3CX デスクトップアプリにおいて、外部のセキュリティ機関より重大なセキュリティ問題の内在が指摘され、3CX社で調査したところセキュリティリスクの内在が確認されました。
※本件は「Labyrinth Chollima」と呼ばれる国家的な犯罪チームが金融機関、エネルギー機関を狙ったものと考えられていますが詳細調査中です。
本問題は、3CX V18 Update 7にサーバーをアップデート後、クライアントに配信されるWindows版 3CXデスクトップアプリにて問題を確認しております。 ※Mac版については、Update6以降
CCアーキテクトでホスティングを行っている3CXクラウドサービスは3か月ごとのメンテナンスリリース運用を行っているため、基本的に今回のUpdate7は適用されておらず、Mac版のデスクトップアプリの利用が確認されていないことから、本問題の影響は受けておりません。
※一部新規のお客様、お客様のほうでアップデートされていることにより該当したお客様につきましては、3/30にCCアーキテクトより個別にご連絡させていただき対処させていただきました。
3CXライセンスをご利用のお客様で、弊社にて監視サービスを提供させていただいているお客様につきましても、影響のあるお客様には個別にご連絡をさせていただいております。
2023年4月3日現在、CCアーキテクトのお客様より、本件に伴う具体的な被害を受けた情報はございません。
【対象】
本問題の対象バージョンは以下の通りです。
3CX Desktop Apps
Windows版 18.12.407 18.12.416
Mac版 18.11.1213 18.12.402 18.12.407 18.12.416
【障害概要】
※本問題は、外部のセキュリティ会社Mandiant社により現在も調査中であり、2023年4月3日現在の情報によるものです。
該当バージョンのアプリケーションがGitHub上の不正なファイルをダウンロードし、そのファイルを使って、標的型攻撃が行われた形跡を確認しました。2023年3月30日時点において、該当のGitHubサイトがクローズされていることから、無害化されているものと判断されていますが、詳細な解析はセキュリティ会社 Mandiant社により継続されています。
また、同日2023年3月30日にマルウェアが内在していたと判断されるライブラリを削除した新バージョンがリリースされていますので、現時点で3CXデスクトップアプリに危険が残っている可能性は極めて低い状況ですが、Mandiant社による全ソースのレビューが完了していないため、現時点ではPWAアプリケーションの利用を推奨しています。※PWAアプリケーションはブラウザの機能を利用して実現しているため、今回問題となっている外部ライブラリを利用していません。
【対処について】
3CXクラウド(CCアーキテクトによるホスティング)のお客様については、特にお客様側で実施していただく作業はございません。
新規でMac版のデスクトップアプリのご利用は控えていただき、Macでのご利用が必要な場合はPWAアプリケーションをご利用ください。
3CXライセンスをオンプレミス環境又は個別環境でご利用のお客様については、以下の対処をお願いいたします。
サーバーのバージョンが V18 Update5 以前の場合、V18 Update6でMac端末をご利用でない場合
対処は必要ありません。
サーバーのバージョンが V18 Update7 の場合、V18 Update6でMac端末をご利用の場合
- マネジメントコンソール右上のアップデート(Update)ボタンを押して、3CX Appsを選択してください。
- 「Mac Desktop App」、「Windows Desktop App」を選択してダウンロードボタンを押し、「18.12.422」のデスクトップアプリケーションをサーバにダウンロードしてください。
※これにより、新規でデスクトップアプリをインストールしようとしたユーザに問題のあるバージョンのインストールがされなくなります。
上記手順で今回問題となっているコードを削除したデスクトップアプリケーションが利用できますが、現時点ではPWAのインストールを推奨しているため、可能な限りPWAの利用をお願いします。
また、どうしてもデスクトップアプリの機能が必要な場合、3CXのレガシーアプリについても緊急避難的に利用することを認めていますので、下記から利用してください。
- デスクトップアプリにしか無い機能(BLF、ホットキー等)が不要の場合
- コントロールパネルからインストールされているアプリを選択し、3CX Desktop App をアンインストールしてください。
- Webクライアントにアクセスし、左側のWindowsロゴをクリックした後、PWAをインストール→インストールボタンを押下し、PWAクライアントをインストールしてください。
- デスクトップアプリにしか無い機能(BLF、ホットキー等)が必須の場合
- コントロールパネルからインストールされているアプリを選択し、3CX Desktop App をアンインストールしてください。
こちらからレガシーアプリ(日本語未対応)をダウンロードしてインストールしてください。- ※4/12更新情報 3CX社よりMandiant社のコードレビュー後の信頼できる3CX Desktop Appがリリースされましたので、今後はこちらのインストールを推奨します。
- Windows Desktop App – 18.12.425 ダウンロードはこちら
- Mac Electron Desktop App – 18.12.425 ダウンロードはこちら
本件に関しましては、3CX社より随時情報が更新されております。
最新情報につきましては、こちらに更新されますので合わせてご参照ください。
この度は、3CXクラウド並びに3CXをご利用のお客様にご不安を与えてしまいましたこと、3CX社ともども心よりお詫び申し上げます。弊社としては継続して情報収集を行い、お客様環境に応じて対応させていただくと同時にMandiant社、3CX社による報告が上がり次第、随時共有させていただきます。
